Часто бывает скачиваешь какой нибудь фильм, музыку и т.д. например в zip rar и т.д. И оказывается, что в еэтом архиве лежит екзешник. Запускаешь его, оказывается самораспаковувающийся архив. Когда прогресс доходит до 100% просит для продолжения отправить SMS на такой-то номер. Можно что-то сделать в таком случае? Кажется мне что файлы уже на этот момент распакованы и лежат где-то временных.

| Сообщение посчитали полезным:

- можно отправить смс и убедиться что это лохотрон
- можно заюзать отладчик и бесплатно убедиться что это лохотрон

| Сообщение посчитали полезным: Dart Sergius, yagello, -=AkaBOSS=-, CyberGod

Как правило после распаковки такого 'архива' запускается ещё один экзешник, содержащий компонент webrowser и html-страничку содержащюю подробное руководство как вам найти то, что вам нужно и скачать это БЕСПЛАТНО с помощью торрент-клиента. Так же разъясняется что такое торрент-клиент, как его найти, скачать и установить. Ещё может присутствовать подобие ответа поисковика с якобы найдеными страницами по вашему первому запросу. Как бороться? Да очень просто, на глаз! Ну кто в здравом уме и трезвой памяти будет паковать фильм да ещё и в самораспаковывающийся архив? Ну или книжку в экзешник? Видим такое - сразу отказываемя от закачки и ищем что нас интересует в другом месте.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

ekkl
Ты когда регистрировался правила читал? Иди тогда с такими глупостями нахер.
Ну чтоб не обидеть, эти архивы ломаются, там либо либо универсальные ключи есть, либо не сложный(но долгий) брутфорс.

| Сообщение посчитали полезным: hlmadip, TLN

Для тех кто не верит свои глазам или сомневается, можно поставить аверский веб чекер ибо эта хрень уже давно у них в базах.

Vovan666
Чаще там ничего нет, оверлей из нулей или мусора, иногда в ресурсах, секции "размер" делают, бывает конечно но очень редко 7z еще реже Rar.

| Сообщение посчитали полезным:

Большинство конечно является лохотроном, но сам пару раз встречал инсталляторы требующие отправки sms, с родным инсталлятором программы в оверлее. Так что надо смотреть прежде всего там

| Сообщение посчитали полезным:

до сих пор попадаются ZipMonstr'ы (кстати, Vovan666 выкладывал как-то тулзу для их брута), это тупо SFX Zip со старым методом шифрования ZipCrypto. Поломать можно, но нудно. (как вариант - plaintext атака)

vzlomat.ru с некоторых пор пакует своё г*** в 7z SFX (AES 256 crypt), до этого больше года назад наткнулся у них же на ZipCoin, накрытый MPRESS'ом. ну я тогда был почти полный нуб, в итоге сделал лоадер, взяв за основу общеизвестный метод от DCRM. (я говорю об эксклюзивнейшей Cracksms )
а так, конечно, гораздо проще найти контент в другом месте

З.Ы. недавно SoftPortal стал паковать инсталлеры прог вместе с тулбарами в 7z SFX без шифра. НОД ругается, мол, Win32.HotDownloads приложение. я тупо откываю архив и достаю то что нужно

З.З.Ы. обычно при "распаковке" индикатор CPU стоит на нуле! это просто gif графика.

| Сообщение посчитали полезным:

Всем спасибо. Если это почти наверняка лохотрон, то и заморачиваться с ним не стоит.
Vovan666 извини за дерзость, но речь шла не об подборе пароля на архив, ибо архивы запрашивают пароль вначале распаковки, а эта чепуха в конце. А это значит, что пароль не имеет никакого отношения к шифрованию.

| Сообщение посчитали полезным:

ZipCoin точно внутри содержит контент. Тот который изначально заявлен или нет зависит от порядочности того кто паковал. В принципе можно даже жалобу подать, если вы не получили то что надо. ZipCoin ломался заменой пары байт. Потом был упакован, но также продолжал ломаться заменой пары байт. Только уже непосредственно в памяти.

Есть другого рода пакеры. Видел как-то на сайте онлайн-библиотеки. Архивы были разного размера, но совпадали с точностью до байта при сравнении. Конец у большего файла соответственно был забит еще чем-то. К тому же делали вид что что-то распаковывают, а на самом деле обращений к винту не было и память вроде не выделялась. Да и проц не напрягался.

| Сообщение посчитали полезным:

У кого есть сигнатуры под разные типы этих лохотронов, запилю утиль для распаковки, самому лень искать.

| Сообщение посчитали полезным:

В принципе скачал с другого сайта то что надо.

| Сообщение посчитали полезным:

вот пример такого архива: http://dump.ru/file/5833841 Все данные находятся в оверлее. Тут 2 варианта отлома: подменить ответ сервера (он в открытом виде в коде сравнивается) или заменить 1 байт. Помоему сам обменник пакует так залитые в него файлы. Его IP легко просматривается в коде программы...


[добавлено]
в стеке адресс, куда коннект идет:



вереый ответ от сеовака "ОК", не верный - "erSkey"


[добавлено]
в архиве программа, которая определяет стоимость смс, может пригодится. Что бы использовать без проксти, просто стерите соотв. поле.

ea15_19.09.2012_EXELAB.rU.tgz - relese.rar

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: